活动目录迁移(转贴)

时间 2020-01-23

原文原文链接

说到活动目录迁移就要用到迁移工具，但Windows自己却并无自带个工具，我建议你们到微软的官方网站上去下载，由于能够下到最新版，安装盘里那个版本过低了。这个工具的全称叫Active Directory Migration Tool，咱们如下简称ADMT。
实验的环境:
目标域:

域名:demo.com

域控制器:server

操做系统:Windows Server 2003

IP:192.168.5.1

子网掩码:255.255.255.0

DNS:192.168.5.1

源域:

域名:ms.com

域控制器:win200ser(原本是打算用win2000ser的，一时大意，少打了一个“0”，将错就错了，反正也没有什么关系)

操做系统:Windows 2000 Advanced Server

IP:192.168.5.10

子网掩码:255.255.255.0

DNS:192.168.5.10

实验目的:要把ms.com上的一个叫“Tom”的用户和一台名叫“Test2000”的计算机账号迁移到Demo.com。

在执行正式的操做之前呢，咱们先要来作三个准备工做:

一、把目标域，在这里也就是demo.com的功能级别提高为纯模式。

点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”:
500)this.width=500 }" border=0>
在“demo.com”上击右键:
500)this.width=500 }" border=0>
选择上面选中的“提高域功能级别”:
500)this.width=500 }" border=0>
请注意，当前的域功能级别是Windows 2000 混合模式，而后开始提高操做:
500)this.width=500 }" border=0>
点击上图中的“提高按钮”，注意这种操做是不可逆的，提高完成后，就会出现以下画面:
500)this.width=500 }" border=0>
这就表示提高成功了，若是有多台域控制的话，请注意复制时间，以肯定这一修改被复制到整个域的全部域控制器上。
二、对两个域作一个双向信任关系。
应该说这是一个关于域的基本操做，可是很遗憾的是不少朋友都在这一步上栽了一个大跟斗，他们都来信告诉我没法创建信任关系，当他们给我看了下面的截图:
500)this.width=500 }" border=0>
以及听取了他们的整个操做过程之后，我基本上判定是由于他们没有正确配置DNS的缘由，我想他们确定是用本域的DNS服务器去解析信任域的域名，因为本地的DNS服务器里是没有对方域的纪录，因此才会形成没法解析，从而致使信任关系没法建议。在这里我向你们推荐一种方法，就是建议DNS的辅助区域来解决这个问题:
500)this.width=500 }" border=0>
先到demo.com域，点击“开始-设置-控制面板-管理工具-DNS”:
500)this.width=500 }" border=0>
展开“SERVER”，定位到“正向查找区域”，并在上面击“右键”:
500)this.width=500 }" border=0>
选择“新建区域”:
500)this.width=500 }" border=0>
点击“下一步”:
500)this.width=500 }" border=0>
在这里，咱们要选择“辅助区域”，而后再点“下一步”:
500)this.width=500 }" border=0>
这里输入和信任域相同的名称，我这里输入的是“ms.com”，而后再点击“下一步”:
500)this.width=500 }" border=0>
这里要输入信任域DNS服务器的IP地址，试验环境中是“192.168.5.10”，继续“下一步”:
500)this.width=500 }" border=0>
最后点击“完成”。
500)this.width=500 }" border=0>
出现上图就表示辅助区域已经创建成功了，而后到源域上再操做一次。

说到这儿呢，我顺便还想再和你们提一下转发器的问题，有些朋友喜欢使用转发器来解决上面的问题，从理论上来说，好像也没有什么讲不通的地方，可是用转发器的时候，不少人都会在上面出现一个严重的错误操做，以个人实验环境为例，这个错误操做就是在demo.com的DNS上设置转发器，转发到ms.com上面的DNS服务器;而后再到ms.com的DNS服务器上设置转发器，转发到demo.com上的DNS服务器。固然我知道你们这么设置的理由是什么，就是当demo.com上的机器须要访问ms.com上的资源的时候，而本地的DNS服务器没法解析，这时能够根据DNS服务器上设置的转发器，转到ms.com上的DNS服务器来进行解析，从而得到正确的IP地址;同理，当ms.com上的机器要访问demo.com上的资源时，也能够利用本地的DNS服务器上的转发器转到demo.com上的DNS服务器上来。以此来解决两个域之间的DNS解析问题。从表面上看，好像仍是挺有道理的。但实际上你会为这样的操做付出代价的，什么缘由?来分析一下，当一个客户端发出一个请求，是两台DNS服务器上有的纪录，那么是不会有什么问题的，由于当服务器自己能解析请求时，转发器是不起做用的。可是，当下面的客户机发出一个错误的请求，好比输错了一个字母，也就是说发出的请求在两台DNS服务器上都没有纪录的时候，那么这时就会根据转上器上的地址来进行转发，而你又是在两台DNS服务器上设置相互转发，那么这条请求就会从这台服务器到那台服务器，再从那中服务器到这台服务器?????……，而且周而复始，这样就会进入一个死循环，会大大的加剧你的服务器的负担，甚至引发死机的可能性也不是没有。因此DNS服务器之间是不能设置相互转发的，这一点请你们切记切记!

OK，那咱们继续，创建完DNS辅助区域之后，再始创建域的信任关系。

先到目标域上，也就是demo.com上，点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:
500)this.width=500 }" border=0>
500)this.width=500 }" border=0>
选“属性”:
500)this.width=500 }" border=0>
点击“信任”:
500)this.width=500 }" border=0>
点击上面的“新建信任”:
500)this.width=500 }" border=0>
点“下一步”:
500)this.width=500 }" border=0>
输入对方域的DNS名称，这里是“ms.com”，再点“下一步”:
500)this.width=500 }" border=0>
能够选择信任方向，这里咱们选“双向”:
500)this.width=500 }" border=0>
点“下一步”:
500)this.width=500 }" border=0>
再点“下一步”:
500)this.width=500 }" border=0>
这里要输入的是信任密码，不要觉得是让你输入管理员密码哟，这但是两回事，设置好之后点“下一点”:
500)this.width=500 }" border=0>
确认一下，要是没有问题就点“下一步”:
500)this.width=500 }" border=0>
点“下一步”:
500)this.width=500 }" border=0>
选“否”，点击“下一步”:
500)this.width=500 }" border=0>
仍是选“否”，以上两步请确认另外一方被建立后选“是”，因为这里对方域尚未被建立因此这里选“否”，点击“下一步”:
500)this.width=500 }" border=0>
最后点击完成。
接下来就到源域上面也去进行一样的设置。不过Windows 2000域建立信任关系要比Windows 2003域来得简单，这里我就不写了。

信任关系被建立后，接下来就是相互把对方域的管理员账号添加到本域的Bulitin容器下的Administrators组。这个操做就不说了。

前期的准备工做就到此为止了，开始进行正式的迁移操做了:

首先固然是安装迁移工具，这里我安装的是ADMT3.0，安装过程很简单，只要狂点下一步就能够完成了。但要注意的是，ADMT工具必定要装在目标域上。安装完成后，咱们能够点击“开始-设置-控制面板-管理工具-Active Directory迁移工具”:
500)this.width=500 }" border=0>
乍一看，就会吓一跳，什么都没有，怎么迁移?别急，在“Active Directory迁移工具”上击“右键”:
500)this.width=500 }" border=0>
都看到了吧，功能众多吧?这里本人仅仅向你们演示一上用户迁移和计算机迁移，因此我先点击“用户账号迁移向导”:
500)this.width=500 }" border=0>
点“下一步”:
500)this.width=500 }" border=0>
这里要正确的填写“源域”和“目标域”，千万别倒过来哟。而后再点“下一步”:
500)this.width=500 }" border=0>
在这里选择“从域中选择用户”:
500)this.width=500 }" border=0>
点击“添加”:
500)this.width=500 }" border=0>
找到咱们要迁移的用户，这里是“tom”,而后点“肯定”:
500)this.width=500 }" border=0>
点击“下一步”:
500)this.width=500 }" border=0>
这里要选择的是目标OU，也是把用户迁移到哪，若是你不知道上图中所示的这种书写形式的话，能够点击“浏览”进行选择OU，选择完成后，系统会自动转换。再点“下一步”:
500)this.width=500 }" border=0>
这里须要提醒一下你们，要选择“生成复杂密码”，暂时还不能选择“迁移密码”，并且你们还要注意密码文件的存储位置，以迁移完成后去寻找那个密码。若是选择了“迁移密码”，那么会出现下面的出错提示:
500)this.width=500 }" border=0>
要迁移密码呢，在ADMT的帮助信息里有详细的介绍，这里我就不重复了。咱们仍是暂时不迁移密码，点“下一步”:
500)this.width=500 }" border=0>
这里能够设置被迁移账号迁移成功后，是禁用仍是启用，几天后过时等信息，我这里选择和源相同，注意的是建议你们把“将用户SID迁移至目标域”前的勾打上。这样就能够把源账号的SID复制到与新账号相关联的历史标记中，同时还会触发SID审核，可能会引发源域的域控制器的重启，这时请等待重启完成:
500)this.width=500 }" border=0>
输入源域的管理员账号和密码，点“下一步”:
500)this.width=500 }" border=0>
若是用到了“漫游用户配置文件”的话，能够选上第一项，其它的能够保持默认，而后点击“下一步”:
500)this.width=500 }" border=0>
这里能够把一些用户属性进行排除，被排除的将不会进行迁移，建议你们仍是保存默认的好。除非有些属性到了目标域后会引发问题。点“下一步”:
500)this.width=500 }" border=0>
你们能够根据本身的须要进行对上图的选择，就是当目标域中存在同名账号之类的冲突现象时，所采起的动做，是迁移仍是不迁移，或者怎么迁移的状况。选定后，请点击“下一步”:
500)this.width=500 }" border=0>
请你们确认上面的信息，若是没有问题，点击“完成”:
500)this.width=500 }" border=0>
上面是一个进度表和一个简单的日志记录，上图表示迁移成功!而后再到目标域的“Active Directory用户和计算机”里去看一下有没有“tom”这个用户:
500)this.width=500 }" border=0>
看到了吧，已经成功迁移过来了。

再来看一个如何迁移计算机账号的，上面咱们选择的是“用户账号迁移向导”，如今咱们要选择的是“计算机迁移向导”:
500)this.width=500 }" border=0>
点“下一步”，下面的图和上例中差很少，我就只截出和上面不同的图:

第六步:
500)this.width=500 }" border=0>
这里我所有选上了:
500)this.width=500 }" border=0>
这里我选择的是“添加”:
500)this.width=500 }" border=0>
迁移成功后，计算机多少时间后重启在上图中指定，剩下的和上面的迁移用户基本一至，完成后能够到目标域的“Active Directory用户和计算机”里去看一下有没有“test2000”这台计算机:
500)this.width=500 }" border=0>
也迁移过来了吧?

如今你能够到客户端上去把test2000这台计算机从新加入到demo.com，而后再用“tom”这个用户登录，你会发现设置和之前同样保持不变的 .